La última brecha anunciada por LastPass es un motivo importante de preocupación para las partes interesadas en la seguridad. Como suele ocurrir, nos encontramos en un limbo de seguridad: por un lado, como ha señalado LastPass, los usuarios que siguieron las mejores prácticas de LastPass estarían expuestos a un riesgo prácticamente nulo o extremadamente bajo. Sin embargo, decir que no se siguen las mejores prácticas de contraseña es una subestimación salvaje. La realidad es que hay muy pocas organizaciones en las que estas prácticas se aplican verdaderamente. Esto coloca a los equipos de seguridad en la peor posición, donde la exposición al compromiso es casi segura, pero identificar a los usuarios que crearon esta exposición es casi imposible.
Para ayudarlos durante este momento difícil, la solución de seguridad del navegador LayerX ha lanzado una oferta gratuita de su plataforma, lo que permite a los equipos de seguridad obtener visibilidad de todos los navegadores en los que está instalada la extensión de LastPass y mitigar los impactos potenciales de la violación de LastPass en sus entornos al informar a los usuarios vulnerables y solicitarles que implementen MFA en sus cuentas y, si es necesario, implementar un procedimiento de restablecimiento de contraseña maestra dedicado para eliminar las capacidades de los adversarios para aprovechar una contraseña maestra comprometida para acceso malicioso (Para solicitar acceso a la herramienta gratuita, rellene este formulario)
Recapitulación del anuncio de LastPass: ¿Qué datos tienen los adversarios y cuál es el riesgo?
Según LastPass sitio web‘El actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento encriptado que se almacena en un formato binario patentado que contiene datos no encriptados, como URL de sitios web, así como campos confidenciales completamente encriptados como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios.’
El riesgo derivado es que ‘el actor de amenazas puede intentar usar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron. Debido a los métodos de hashing y cifrado que utilizamos para proteger a nuestros clientes, sería extremadamente difícil intentar adivinar las contraseñas maestras por fuerza bruta para aquellos clientes que siguen nuestras mejores prácticas de contraseñas.
No implementar las mejores prácticas de contraseñas de LastPass expone la contraseña maestra a la bóveda
La última sección sobre ‘mejores prácticas’ es la más alarmante. ¿Mejores prácticas de contraseña? ¿Cuántas personas mantienen las mejores prácticas de contraseña? La respuesta realista, pero desafortunada, es: no muchos. Eso es cierto incluso en el contexto de las aplicaciones administradas por empresas. Cuando se trata de aplicaciones personales, no es una exageración suponer que la reutilización de contraseñas es la norma y no la excepción. El riesgo que presenta la infracción de LastPass se aplica a ambos casos de uso. Entendamos por qué.
El riesgo real: acceso malicioso a los recursos corporativos
Dividamos las organizaciones en dos tipos:
Escribe un: Organizaciones en las que se utiliza LastPass como parte de la política de la empresa para almacenar contraseñas para acceder a aplicaciones administradas por la empresa, ya sea para todos los usuarios o en departamentos específicos. En ese caso, la preocupación es sencilla: un adversario que logre descifrar u obtener la contraseña maestra de LastPass de un empleado podría acceder fácilmente a los recursos confidenciales de la empresa.
Tipo B: Organizaciones en las que los empleados utilizan LastPass de forma independiente (ya sea para uso personal o laboral) o grupos específicos de la organización, sin conocimientos de TI, para las aplicaciones de su elección. En ese caso, la preocupación es que un adversario que logre descifrar u obtener la contraseña maestra de LastPass de un empleado se aprovecharía de la tendencia de los usuarios a reutilizar contraseñas y, después de comprometer las contraseñas en la bóveda, encontrará una que también se usa para acceder aplicaciones corporativas.
El callejón sin salida del CISO: cierta amenaza pero capacidades de mitigación extremadamente bajas
Independientemente de si una organización cae en el tipo A o B, el riesgo es claro. Lo que intensifica el desafío para el CISO en esta situación es que, si bien existe una alta probabilidad, por no decir certeza, de que haya empleados en su entorno cuyas cuentas de usuario puedan verse comprometidas, el CISO tiene una capacidad muy limitada para saber quién. estos empleados son, por no hablar de tomar las medidas necesarias para mitigar el riesgo que imponen.
Oferta gratuita de LayerX: 100 % de visibilidad en la superficie de ataque de LastPass, así como medidas de protección proactivas
LayerX ha lanzado una herramienta gratuita que ayuda a los equipos de seguridad a comprender la exposición de su organización a la violación de LastPass, mapea todos los usuarios y aplicaciones vulnerables y aplica mitigaciones de seguridad.
La herramienta de LayerX se entrega como una extensión empresarial para el navegador que usan sus empleados y, por lo tanto, brinda visibilidad inmediata de todas las extensiones del navegador y las actividades de navegación de cada usuario. Esto permite a los CISO obtener lo siguiente:
- Asignación de uso de LastPass: Visibilidad integral de todos los navegadores en los que está instalada la extensión de LastPass, independientemente de si es parte de la política corporativa (tipo A) o de uso personal (tipo B). La herramienta mapea todas las aplicaciones y destinos web cuyas credenciales están almacenadas en LastPass. Cabe señalar que los desafíos de visibilidad para las organizaciones de tipo B son mucho más graves que para el tipo A y no pueden ser abordados por ninguna solución, excepto por la herramienta de LayerX.
Informe LastPass de LayerX |
La notificación de LayerX enviada a usuarios vulnerables |
- Identificación de usuarios en riesgo: Aprovechando este conocimiento, los equipos de seguridad pueden informar a los usuarios vulnerables y exigirles que implementen MFA en sus cuentas. También pueden implementar un procedimiento de restablecimiento de contraseña maestra dedicado para eliminar la capacidad de los adversarios de aprovechar una contraseña maestra comprometida para el acceso malicioso.
Para obtener acceso a la herramienta gratuita, complete este formulario.